Группы Lazarus: эволюция и вызовы кибербезопасности

Источник: blogs.jpcert.or.jp
В последнее время термин «Lazarus» претерпел значительные изменения. Сначала он обозначал отдельную APT-группу (Advanced Persistent Threat), но теперь охватывает множество подгрупп с дифференцированными функциональными характеристиками. С увеличением масштабов деятельности организации Lazarus становится критически важным анализировать и распределять действия на уровне подгрупп, чтобы эффективно противостоять связанным с ней хакерам.
Необходимость идентификации подгрупп
Автор отчета подчеркивает, что идентификация подгрупп является ключевым аспектом для принятия текущих мер безопасности. Это особенно актуально в борьбе с атаками на различные сектора, такие как:
- криптовалюта
- оборона
- авиационная промышленность
Разнообразие названий для различных кампаний и подгрупп Lazarus приводит к путанице в системе безопасности. Наблюдения показывают, что тактика, методы и процедуры (TTP) в этих подгруппах часто совпадают, что усложняет их анализ. Например, в нескольких атаках LinkedIn использовался в качестве исходного вектора атаки, и, согласно последним данным, количество подобных методов продолжает расти.
Формирование новых групп и интеграция тактик
Появление новых оперативных групп, подобных Bureau325, которые используют TTP, аналогичные подгруппам Lazarus, свидетельствует о переходе к более интегрированной, но менее традиционной иерархии поведения.
Причины и преимущества точной идентификации подгрупп
Автор обосновывает необходимость точного определения подгрупп по нескольким факторам:
- Увеличение эффективности мер по предотвращению ущерба через соответствующие предупреждения, направленные на затронутые отрасли.
- Создание эффективной и целенаправленной коммуникации, признавая разнообразие целей подгрупп.
- Проведение точного долгосрочного анализа угроз для Японии, что поддерживает контроперации против участников APT.
Отмечается, что уникальные организационные характеристики различных подгрупп требуют адаптации защитных мер в соответствии с международным правом.
Сообщения для злоумышленников и их последствия
Подчеркивается важность передачи сообщений злоумышленникам при помощи точной идентификации подгрупп, что может ограничить оперативный успех злоумышленников. Несмотря на сложности операций APT и трудности с их атрибуцией, выделение подгрупп может значительно повысить способности защитников и помочь в разработке более детальных стратегий защиты.
Жесткая и мягкая атрибуция
В статье также проводится различие между «жесткой» и «мягкой» атрибуцией, которая включает:
- Строгую юридическую ответственность
- Более широкое групповое профилирование
Текущая ситуация показывает, что, хотя жесткая атрибуция необходима для долгосрочных стратегий, мягкая атрибуция остается полезной для выдачи предупреждений и разработки контрмер. Автор подчеркивает, что будущие дискуссии должны сосредоточиться на сложностях раскрытия информации и ее влиянии на эффективные стратегии кибербезопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



